2022年3月22日8:00
決済代行事業者、BPO事業者、ECカートサービス事業者、決済関連のスタートアップ事業者など多くの企業にAWS(Amazon Web Services)の活用が広がっている。「PCI DSS Ready Cloud」は、これらの企業のPCI DSS準拠と運用をサポートするクラウドサービスだ。「PCI DSS Ready Cloud」の特徴やその導入事例を紹介する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)
株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏
日本のインターネット黎明期にIT業界に参入
今回はAWS(Amazon Web Services)での活用が広がっているクレジットセキュリティの対策について、私どものサービスと、利用企業の事例をご紹介したいと思います。
はじめにリンクという会社について紹介させていただきたいと思います。リンクの設立は1987年です。当初は広告制作をメインに事業を展開していました。Windows95が発売され、個人の自宅にパソコンが普及していった1996年、米・Gateway社が商社を通じてパソコンを販売するというビジネスモデルで日本市場に進出してきました。同社は同年、いったん日本市場から撤退しているのですが、そのときに日本市場にあったGatewayのパソコンを使って立ち上げた「AT-LINK専用サーバ・サービス」が、われわれが最初に手掛けたITサービスです。今の言葉でいえば、マネージドホスティングサービスで、1996年の後半から運営していまして、現在でも4,000台ぐらいのお客様のサーバをお預かりしているサービスです。このサービスをきっかけに、その後、クラウドサービス、ベアメタルのサービスなども開始することになりました。
一方では、われわれがアプリケーションを開発して、今の言葉でいうとSaaS、当時ですとASPサービスの展開も進めてきました。代表的なのは2000年ころからエンジンの開発に着手して、今から13~14年前から提供を始めたBIZTELというIP PBXのクラウドサービスです。現在1,800社ぐらいに利用していただいています。
SaaSとは別に、PaaS(Platform as a Service)の仕組みを作ってクラウド化してお客様に使っていただこうということで始めたのが、われわれの事業部のサービスです。クレジットカードセキュリティやPCI DSS、クレジットカード情報非保持化というキーワードで、クラウドサービスを展開しています。ブランド名は、「PCI DSS Ready Cloud」「Smart TG」「Cloud Token for Payment Card」「Pay TG」などです。
また、なかほら牧場という牧場を岩手県岩泉町で運営しています。バター、牛乳などを製造し、インターネットを介して全国で販売しています。
ユーザーの要望に応えてサービスを拡充
AWSユーザーズコンソーシアムを発足
2013年5月にPCI DSS Ready Cloudをリリースしました。プライベートクラウドにPCI DSSに必要なセキュリティコンポーネントを実装したものです。リリースを出したところ70社から問い合わせをいただいて、そのうち50社ぐらいを訪問いたしました。それまではクレジットカード情報を取り扱うPCI DSSに準拠したインフラは、オンプレミスで作るのが当たり前でした。それをクラウドサービスでどうやって実装するのかということに興味を持っている企業が非常に多かったということです。コストやエンジニアの工程が削減できるのかという質問を、何度も受けました。
PCI DSS Ready Cloudはリリースから1年後、決済代行事業者で稼働がスタートしました。この採用をきっかけに、現在まで約50社に利用していただいています。
サービスを販売するにあたり、カード会社、決済代行事業者などいろいろなお客様とお話をさせていただきましたが、お客さまの要望に応えて2014年9月にリリースしたのがCloud Token for Payment Cardです。クレジットカード番号を無価値な番号に置き換えるトークン技術をクラウドサービスとして提供するものです。それまで日本ではアプライアンスを購入して対応するのが一般的で、導入には数千万円のコストがかかりました。一方、アメリカではクラウドサービスの利用が増えているということを伺って、PCI DSS Ready Cloudのインフラ上にトークンの仕組みを構築して、サービス提供を開始しました。導入していただいているのはカード会社が中心で、共有版と専用版がありますが、利用比率は半々ぐらいです。
2016年12月にはBIZTELをPCI DSSに準拠させました。コールセンターで受注業務を代行する事業者が、音声でクレジットカード番号を伺い、その音声データを保存する場合、PCI DSS準拠が必要です。BIZTELをPCI DSSに準拠させて販売してみようということで、サービス開発を行いました。アウトソーサーやBPO事業者などへの導入が進んでいます。
2017年10月にはメールオーダー・テレフォンオーダーの略であるMOTO加盟店向けクレジットカード情報非保持化サービスであるPay TGをリリースしました。現在数千台規模で運用しています。
2017年から、AWS上でReady Cloudのコンセプトを実現したサービス提供して欲しいと相談が増えてきました。PCI DSS準拠はカード会社、大手加盟店、決済代行会社から進んできましたが、フィンテックのベンチャー事業者が、PCI DSSに準拠してクレジットカード関連サービスを展開したいというケースが増えてきたためです。AWSでシステム構築をしたいので、PCI DSS Ready CloudをAWSで利用できるようにしてほしい、というわけです。開発に着手し、2018年6月にリリースしたのが、PCI DSS Ready Cloud AWSモデルです。
その後、P2PEのサービス、Ready CloudのAzure版をリリースしたり、Pay TGの発展形のSmart TGをリリースしたりということで現在に至っています。
AWSを使ってPCI DSSに準拠しようというときに、いろいろと悩まれるポイントがあると思います。どこに相談していいかわからない、日本語の情報が不足していて困っているといった声をたくさん聞きました。それならばわれわれが情報発信をしていこうということで、2021年12月に、サーバーワークス、琉球銀行、fjコンサルティング、GRCSとわれわれが発起人になり、PCI DSS AWS Users Consortium Japanを発足いたしました。ユーザー会員企業を募集中ですので、ご興味のある方はぜひ会員登録の申請をしていただきたいと思います。
また、最近、SIer(システムインテグレーター)の方から、PCI DSS Ready Cloud を使ってお客様にサービスを提供したいという相談を非常に多く受けています。今まではSIerがオンプレミスでシステムを構築して提案していたのですが、お客様もクラウド化したいという要望が増えています。そこで、PCI DSS Ready Cloud を使って低コスト、短時間でPCI DSS準拠を進めたいというわけです。われわれとしても、SIerのみならず、BPO事業者、ソフトウェア事業者などとこういった協業を積極的に進めていきたいと考えていますので、お声がけしていただければと思っております。
■お問い合わせ先
株式会社リンク
〒107-0061
東京都港区北青山 2-14-4
アーガイル青山 14階
TEL :03-6704-9090
https://pcireadycloud.com/
お問い合わせ:https://pcireadycloud.com/users/system/exe/pci_dss_ready_cloud_inquiry_form.php
